Не работает access-list. Что не так?

Question

[Алексей]

Не работает access-list на исходящем интерфейсе
система очень простая cisco router к примеру 3725(c3725-adventerprisek9-mz.124-25d) подключен интерфейсом FastEthernet0/1 в любой коммутатор

конфигурация роутера R1

interface Loopback0
 ip address 192.168.2.1 255.255.255.255
!
interface Tunnel0
 ip unnumbered Loopback0
 ip ospf network point-to-point
 ip ospf mtu-ignore
 tunnel source FastEthernet0/1
 tunnel destination 192.168.1.1
!
interface FastEthernet0/1
 ip address 192.168.1.2 255.255.255.0
 ip access-group 100 in
 ip access-group 101 out
 duplex auto
 speed auto
 no shutdown
!
router ospf 1
 router-id 192.168.2.1
 log-adjacency-changes
 network 192.168.2.1 0.0.0.0 area 192.168.1.1
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1
!
access-list 100 deny   gre any any log
access-list 101 deny   gre any any log
no cdp run

по идее GRE трафик должен блокироваться но этого не происходит
Wireshark показывает что GRE трафик выходит за FastEthernet0/1

Answer 1

[Archangel]

Вы совершенно правы. На маршрутизаторах с IOS трафик инициированный самим маршрутизатором не попадает под ACL.

Если есть такая критичная необходимость не пустить трафик наружу, то самый простой вариант - заворачивать целевой трафик на loopback интерфейс с помощью локального route-map-а.

ip local policy route-map

Answer 2

[Алексей]

да мне кажется как-раз 2ой случай
буду читать про это подробней

Answer 3

[Игорь]

Надеюсь, что не глупость скажу, но озвучу 2 своих версии, что приходят на ум:
1) Нельзя вешать более одного ACL на интерфейс/протокол/направление
2) ACL не действует на трафик, сгенерированный самим маршрутизатором (Ваш случай)

Answer 4

[John_Alban]

Можно заблокировать на уровне control-plane policy. В текущем виде не получится, т.к. трафик собственный трафик роутера под фильтр не попадет. Но входящий туннель у вас все равно не поднимется, так что задача в какой то степени решена..